Security Risk Management [Datenrisiko & Bewertung]
Die Steuerung von Sicherheitsrisiken kann verhindern, dass Schwachstellen in Ihrem Unternehmen übersehen und von externen Angreifern ausgenutzt werden.
Was versteht man unter Security Risk Management? Risikomanagement ist ein Prozess, den ein Unternehmen durchläuft, um Risikobereiche zu identifizieren. Dieser Prozess sollte kontinuierlich ablaufen, wobei nach Aufdeckung eines Risikos die entsprechenden Maßnahmen ergriffen werden sollten.
Was bedeuten Sicherheit und Bedrohungsmanagement?
Im modernen IT- und Geschäftsbetrieb hat die Cybersicherheit höchste Priorität. Die Realität des datengesteuerten Handels zeigt, dass die meisten Verbraucher- und Geschäftsinformationen in digitalen Räumen gespeichert sind, in denen Sicherheitsbedrohungen und Schwachstellen reale, nachhaltige Schäden für Menschen und Unternehmen verursachen können.
Daher führen viele Unternehmen und externe Sicherheitsexperten so genannte Threat Assessments (Bedrohungsanalysen) durch. Diese Bewertungen berücksichtigen die Infrastruktur und die Fähigkeiten eines Unternehmens, die gespeicherten Daten, die Art der Kommunikation und Interaktionen mit der Außenwelt und vergleichen diese Faktoren mit bestehenden Bedrohungen.
Das InfoSec Institute definiert Sicherheitsmanagement im Certified Information Systems Security Professional Framework mit den folgenden Elementen:
- Sicherheitsmodell. Dies umfasst die Basiskontrollen und die Entscheidungsfindung in Bezug auf die Sicherheit innerhalb eines Unternehmens auf der Grundlage der IT-Infrastruktur, der Geschäftsziele und der Compliance mit Vorgaben wie HIPAA, GDPR (DSGVO) oder PCI DSS.
- Vertraulichkeit, Integrität und Verfügbarkeit. In Bezug auf die Datenverwaltung bezieht sich die Vertraulichkeit auf den Datenschutz, die Integrität auf die kontinuierliche Stabilität dieser Daten und die bedarfsorientierte Verfügbarkeit für Benutzer.
- Sicherheits-Governance. Die meisten Unternehmen sollten, unabhängig von ihrer Größe, über ein Gremium zur Verwaltung der Sicherheitsrichtlinien und -verfahren verfügen, das von einem Chief Technology Officer, einem Chief Information Security Officer oder einem Compliance Officer geleitet wird.
- Richtlinien und Verfahren. Um Probleme erfolgreich zu bewältigen, sollte ein Unternehmen über umfassende Richtlinien für Data Governance und Cybersicherheit verfügen, anhand derer Pläne für Konfigurationsänderungen, Upgrades, Mitarbeiterschulungen und dergleichen umgesetzt werden können.
- Aufrechterhaltung des Geschäftsbetriebs. Bei der Sicherheit geht es um die Fähigkeit eines Unternehmens, den Betrieb aufrechtzuerhalten. Dazu gehört auch die Fähigkeit, den Betrieb nach Sicherheitsverletzungen wieder aufzunehmen, Sicherheitslücken zu schließen und Probleme zu beheben, sobald sie auftreten.
- Risikomanagement. Risiko als Eckpfeiler des Risikomanagements bezeichnet die Abwägung zwischen potenziellen Sicherheitsbedrohungen in einer IT-Infrastruktur und den geschäftlichen und technischen Zielen. Die Höhe des Risikos, das ein Unternehmen eingeht, kann je nach Unternehmen, Branche oder sogar Jahreszeit unterschiedlich sein.
- Threat Modeling. Bedrohungsmodellierung ist eine konkretere Art der Beschreibung von Sicherheitsanforderungen und potenziellen Schwachstellen, um diese Gefahren zu mindern. Dazu gehören auch die Messung, Kennzeichnung und Priorisierung von Bedrohungen nach Bedarf.
Wie funktioniert Security Risk Management?
Durch die Kombination dieser Sicherheitsmaßnahmen und -kriterien können Unternehmen Richtlinien für das Risikomanagement einführen, die es ihnen ermöglichen, ihre Risiken vollständig und umfassend zu verstehen und Entscheidungen darüber zu treffen, wie sie ihnen begegnen wollen.
Das Zusammenspiel von Risikobewertung, -katalogisierung und -messung ermöglicht Unternehmen beim Sicherheitsmanagement voranzukommen, wenn sie die folgenden vier Aspekte ihres Sicherheitsprofils berücksichtigen:
- Assets: Über welche Datenbestände verfügt ein Unternehmen? Wo sind diese Informationen gespeichert? Wie interagieren, ändern oder kontaktieren interne und externe Benutzer diese Daten? In diesem Fall können Assets (Vermögenswerte) beispielsweise Daten in einer Datenbank oder einem Datenspeicher, Software-as-a-Service-Anwendungen in der Cloud oder interne Benutzerportale bedeuten.
- Kontrollen: Welche Technologien sind im Einsatz? Wo sind diese Technologien installiert? Sind sie aktualisiert und richtig konfiguriert? Zu den Sicherheitskontrollen können Verschlüsselungsalgorithmen, Firewalls, Anti-Malware-Technologien oder Software zur Identitäts- und Zugriffsverwaltung gehören.
- Sicherheitslücken: Wo sind die Schwachstellen im IT-System? Wo sind Daten ungesichert? Gibt es potenziell unsichere Stellen, über die Daten geleitet werden? Sicherheitslücken sind schwer zu finden. Daher sind regelmäßige Schwachstellen-Scans, jährliche Penetrationstests oder Red-Team-Manöver erforderlich.
- Bedrohungen: Wie sieht die moderne Bedrohungslandschaft im Bereich der Cybersicherheit aus? Entstehen neue Bedrohungen? Dieser Aspekt ist oft dynamisch, denn Bedrohungen können plötzlich und ohne Vorwarnung auftauchen. Selbst altbekannte Bedrohungen können immer wieder eine Herausforderung darstellen und besondere Sicherheitsmaßnahmen erfordern.
Durch die Erstellung konkreter Sicherheitspläne und eine Bestandsaufnahme der vier oben genannten Aspekte kann sich jedes Unternehmen einen guten Überblick über seine potenziellen Risiken und Bedrohungen verschaffen.
Für konkretere Richtlinien zur Risikobewertung und einheitlichen Sicherheit wenden sich viele Unternehmen an Fachverbände wie die Internationale Organisation für Normung oder das National Institute of Standards and Technology. ISO 31000 und die NIST Special Publications 800-39 und 800-53 bieten solide Rahmenkonzepte für das Risikomanagement.
Wie gehen Unternehmen mit Risiken um?
Wie ein Unternehmen mit Risiken umgeht, hängt von seinem Geschäftsmodell ab. Unterschiedliche Branchen erfordern oft unterschiedliche Vorgehensweisen bei der Behandlung von Sicherheitsproblemen oder setzen andere Prioritäten. Im Allgemeinen gibt es fünf grundsätzliche Möglichkeiten, ein Risiko zu behandeln, sobald es entsteht:
- Abhilfe: Die Umsetzung von Maßnahmen zur Beseitigung, Behebung oder teilweisen Ausschaltung des Risikos.
- Schadensbegrenzung: Verringerung der Auswirkungen einer potenziellen Schwachstelle durch organisatorische Maßnahmen, in der Regel durch die Implementierung von Sicherheitsmaßnahmen im Umfeld, anstatt das unmittelbare Risiko zu beheben.
- Akzeptanz: Feststellen, dass das Risiko aus geschäftlicher oder IT-Sicht akzeptabel ist und nichts unternehmen.
- Übertragung: Verlagerung der Verantwortung oder der potenziellen Auswirkungen der Sicherheitslücke. Zum Beispiel, indem Sie Daten verschieben oder eine Versicherung gegen Sicherheitsverletzungen abschließen, um finanzielle Auswirkungen zu vermeiden.
- Vermeiden: Isolierung des Risikos, um Probleme gänzlich zu vermeiden. Zum Beispiel durch die Migration von Daten auf neue Server und die Verwendung risikoreicherer Geräte zur Verarbeitung nicht sensibler Daten.
Wie oft sollte ein Unternehmen eine Risikobewertung durchführen??
Es gibt verschiedene Möglichkeiten, Sicherheitsbewertungen durchzuführen. Im Großen und Ganzen sind die folgenden Richtlinien ein guter Ausgangspunkt für die Ermittlung von Risiken und Sicherheit:
Tests zur Risikobewertung | Zeitplan |
Risikobewertung (umfassende IT-Bewertungen) | Jährlich |
Penetrationstests | Mindestens einmal pro Jahr |
Schwachstellen-Scanning | Jeden Monat |
Schützen Sie Ihre Software und Daten mit sicheren und gesetzeskonformen Plattformen
Der Grundstein für das Sicherheitsmanagement in unserer modernen Wirtschaft wird durch die Zusammenarbeit mit sicheren Lieferanten und Herstellern gelegt. Diese Hersteller können nicht nur sichere Technologie liefern, sondern auch das obligatorische Risikomanagement für ein ohnehin schon ausgelastetes Unternehmen übernehmen.
Die Kiteworks Content Management Plattform kann sichere Datenverwaltung und Governance-Richtlinien sowie Risikomanagement und Analysen unterstützen. Wenn Sie wissen möchten, wie Kiteworks funktioniert, melden Sie sich noch heute für eine individuelle Demo an.
–>